场景描述
在AWS环境中,用户必须对存储重要数据的EBS(弹性块存储)卷进行磁盘加密,以确保数据的安全性。为了进一步验证加密措施的有效性,用户需要在不同的账户之间共享加密的镜像,并使用这些镜像启动新的实例进行测试。
实施流程
- 源账号创建KMS密钥
- 配置KMS共享目标账户
- 创建EC2设置数据加密
- 创建AMI并设置账户共享
- 目标账号查看策略
- 启动AMI镜像验证
源账号
创建KMS用户管理密钥
选择加密类型
(可选)定义密钥权限
设置共享其他AWS账户
创建EC2、AMI
创建EC2 EBS时使用创建的KMS密钥
登录服务器创建测试数据
创建快照
设置AMI共享其他账户
配置目标账户ID
目标账号
(可选)为目标账户创建策略
(如果你的账户没有启动或访问AMI的权限)配置目标账户。目标账户中的 IAM 用户或角色需要能够在 cmkSource 上执行 AWS KMS DescribeKey、CreateGrant、ReEncrypt* 和 Decrypt 作,以便从共享加密的 AMI 启动实例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ReEncrypt*",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:xxxx:key/09d8aba5-25e0-41d2-86b6-1f2aaa138923"
]
}
]
}
查看源AMI是否已共享到账户
启动实例
选择共享的AMI镜像
查看源EBS数据是否存在
总结
经过一系列的跨账号共享和实例启动测试,我们确认EBS磁盘加密功能运行正常,数据安全性得到了有效保障。相关问题已得到妥善处理,系统现已处于安全稳定的状态